Використання Veeam Cloud Connect. Зберігаємо клієнтські бекапи і репліки


Бекапи потрібно мати. Бажано, в декількох місцях.

Я думаю, що кожен адміністратор Veeam Backup & Replication помічав в консолі керування кнопку «Add Service Provider». На Хабре є кілька хороших статей, які демонструють, як використовувати цю кнопку за призначенням і як почати складати бекапи Veeam не тільки у себе, але і в хмару, наданий сервіс-провайдером.

У цій статті я б хотів спробувати зазирнути по той бік і показати, що потрібно зробити самому сервіс-провайдера, щоб почати приймати резервні копії клієнтів.

Veeam надає, на мій погляд, дуже зручну можливість зберігання резервних копій і реплік off-site, на стороні сервіс-провайдера, який надає для цих цілей свої дискові і обчислювальні потужності. Найбільшим зручністю для клієнта є те, що всі підключення до сервіс провайдера виконуються зі звичної адміністратору консолі BR і легким рухом миші він отримує цільовий репозиторій для бекапів, що знаходиться десь далеко.
Адміністратор при цьому використовує звичні йому завдання Backup Job та Backup Copy Job, знаючи при цьому, що якщо він втратить основний бекап, завжди можна буде відновитися з копій, що знаходяться на стороні сервіс-провайдера.

Як я вже написав вище, на цьому сайті є статті, які описують, як же клієнт може отримати віддалений репозиторій. Я спробую описати, як створити цей репозиторій і надати його клієнту. У даній статті я опускаю реплікацію і можливість відновлення віртуальних машин на обладнанні сервіс провайдера.

Почну, мабуть, зі схеми, яка пояснює принцип роботи Cloud Connect:


Ліва частина — це наші клієнти. Користувачі Veeam BR, які відправляю свої бекапи на бік сервіс-провайдера.

Права частина — сервіс провайдер. Його інфраструктура складається з наступних компонент:

  • Veeam Backup Server — сервер, керуючий хмарою, клієнтами, дисковими і обчислювальними ресурсами;
  • Veeam Backup Repository — звичний і знайомий сервер з підключеними до нього сховищами. В даному випадку тут розташовуються бекапи клієнтів;
  • Veeam Cloud Gateway — Точка входу клієнта. Саме через цей шлюз відбувається завантаження бекапів від клієнта в репозиторій сервіс-провайдера. Таких гейтвеев може бути кілька;
  • Опціонально WAN-оптимізатор з двох сторін.
Взаємодія між клієнтом і сервіс провайдером виконується по зашифрованому каналу через один порт.

Тепер, коли видно, як це виглядає з боку, подивимося на бік сервіс провайдера. У своїй середовищі я використовую три сервера для хмарного сховища та одного клієнта:

  • Veeam Backup Server;
  • Veeam Backup Repository;
  • Veeam Cloud Gateway;
Для чистоти випробування, всі компоненти Cloud Connect знаходяться в окремій від клієнтів мережі. Сервер Cloud Gateway має другий інтерфейс, який дивиться в мережу, доступну клієнтам (в ідеалі це WAN, але не в моєму випадку).

Варто зауважити, що сервера Cloud Gateway не обов'язково мати другий інтерфейс, який доступний ззовні. Він прекрасно уживається в DMZ за NATом (Так і повинно бути завжди, imho), прокинути зовні потрібно всього один порт.

Список портів, які може використовувати Veeam.

Тепер заглибимося в налаштування всього цього діла:
В першу чергу необхідно проінсталювати класичний сервер Veeam Backup & Replication з одним винятком. На даному сервері повинна використовуватися інша ліцензія, ліцензія Cloud Connect Provider. Детальніше про ліцензії для сервіс-провайдерів.

Після інсталяції сервера BR і додавання ліцензії сервіс-провайдера, відразу можна помітити відмінність. До всього іншого ми отримуємо нову закладку «CLOUD CONNECT»:


Попередньо, я підключив до сервера Veeam дві віртуальні машини, з одного з яких я підключив репозиторій, а друга буде використана для Cloud Gateway. У підсумку, структура Veeam виглядає наступним чином:


Репозиторії:


Тепер займемося налаштуванням нашого хмарного сховища. В першу чергу необхідно додати сертифікат, який буде використовуватися для каналу спілкування з клієнтом. Можна згенерувати свій сертифікат, використовувати вже імпортований, або використовувати файл сертифіката. Робиться це пунктом «Manage Certificates» з вкладки «CLOUD CONNECT». Я буду використовувати перший пункт і створю самопідписаний сертифікат:



Далі Veeam запропонує ознайомитися з сертифікатом. На цьому його створення\імпорт закінчено.

Наступним кроком необхідно додати Cloud Gateway, через який клієнти будуть отримувати доступ до ресурсів для розміщення своїх резервних копій. Необхідно використовувати пункт меню «Add Cloud Gateway»:

В першу чергу необхідно вибрати сервер, на який буде виступати в ролі Cloud Gateway і на який будуть встановлені необхідні пакети, а так само вказати порт, через який сервер буде приймати підключення від клієнтів (На цей порт необхідно налаштувати NAT, якщо використовується):


Наступним кроком необхідно вказати тип підключення нашого Gateway до мережі. Використовується пряме підключення, або ми знаходимося за NAT?.. В моєму випадку я використовую пряме підключення через Ethernet 2:


Якщо Gateway знаходиться за NAT, необхідно вказати адресу NAT пристрою.

Далі Veeam звіряє налаштування і повідомляє про те, що буде проинсталлирован сервіс Cloud Gateway на цільову машину, зазначену в початку. Дочекавшись закінчення установки, переконуємося, що у нас з'явився новий шлюз доступу:


Дана можливість не мала б сенсу, якби у нас клієнтів. Наступним кроком необхідно створити обліковий запис клієнта і виділити йому пул ресурсів. Обліковий запис передається клієнту і з нею він здійснює підключення до сервіс-провайдера.

Додавання клієнтів відбувається на пункті «Tenants» → «Add Tenant»:

При додаванні нового клієнта вказується обліковий запис і, відповідно, пароль для доступу. Далі зазначаються ресурси, які надаються користувачеві. Вони можуть бути як дискові, так і обчислювальні. Оскільки я використовую в даному прикладі тільки резервне копіювання, я вказую тільки дискові ресурси (Backup Storage). Так само можна вказати термін дії контракту, протягом якого користувач не зможе підключатися:


Далі ми можемо обмежити максимальну пропускну здатність клієнта:


На останньому етапі ми додаємо репозиторії, які будуть видні у користувача, а так само вказуємо квоту, доступну користувачу в даних репозиторіях. У прикладі я додам користувачеві репозиторій на 20GB:



Тут же можна підключити WAN-аккселератор, якщо він необхідний клієнту. У випадку, якщо клієнту необхідно додати два репозиторію, розташувати їх можна буде тільки на різних репозиторіях, підключених до нашого сервера Veeam BR.

Звіривши сумарні параметри, натискаємо «ок». Тепер на закладці «Tenants» ми бачимо нашого клієнта:



А на закладці Backup Storage можна спостерігати, як клієнти використовую надане ним дисковий простір:


На цьому все, налаштування Veeam з боку сервс-провайдера закінчена. Перевіримо, чи вийде клієнту використовувати наші ресурси.

На другому сервері BR я вибираю «Add Service Provider» і вказую адресу Ethernet 2 мого Cloud Gateway, який був налаштований вище (У разі NAT, необхідно вказувати адресу пристрою, що виконує кидок портів). А ще краще завести запис DNS для цієї адреси:


Далі, у разі успішного підключення, необхідно звірити наданий сертифікат, а так само вказати дані для підключення, які ми надаємо клієнту:


Якщо все «ок», клієнт буде бачити список наданих йому ресурсів. Як можна помітити, ми бачимо виділені раніше 20GB:


Тепер клієнт буде бачити адресу нашого Cloud Gateway у списку «Service Providers», а репозиторій з ім'ям «repo1_20g» буде видно у списку репозиторіїв.

Цей репозиторій можна використовувати і для звичайної завдання резервного копіювання і для задач типу Backup Copy, для дотримання політик 3-2-1, наприклад. Я створю і запущу звичайну задачу, перевіримо, що буде бачити в цьому випадку сервіс провайдер.

Як тільки клієнт запускає завдання, цілі, у якій вказано репозиторій сервіс-провайдера, через консоль управління провайдер може побачити стан запущеної клієнтом завдання, а так само обсяг переданих у даний момент даних:


При цьому провайдер не бачить віртуальні машини, які резервуються, та іншу цінну для клієнта інформацію. Для більшої впевненості в тому, що до бэкапам ніхто не доторкнеться, у властивостях завдання резервного копіювання є можливість включити шифрування. Робиться це в пункті «Advanced → Storage»:



Два завдання. Одна захищена паролем, інша — ні.

З боку користувача є одне обмеження. Максимальна кількість потоків, які можуть бути запущені на один репозиторій — 1. Тобто, навіть якщо проксі включено 10 потоків, резервуватися віртуальні машини будуть в порядку черги, а не по 10 відразу. Більше про обмеження тут., Щоб мати можливість запускати кілька потоків, необхідно кілька репозиторіїв, наданих провайдером, а так само кілька завдань резервного копіювання.
В іншому ж, процес резервного копіювання\відновлення при використанні хмари аналогічний процесу відновлення звичайного репозиторію, за винятком можливості використовувати Instant Recovery.

Ось начебто і все, що я планував написати про резервне копіювання в хмару Veeam. Хотілося б ще раз додати, що як на мене, це зручний варіант для дотримання правила 3-2-1. Ознайомившись з даною статтею, може хтось захоче стати провайдером, а хтось почне довіряти провайдерам збереження резервних копій.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.